Cela est officiel, la faille baptisée ShellShock a bien été exploitée. Un ancien hacker “black hat”, aujourd’hui repenti, a découvert que des cybercriminels roumains avaient pu accédé à des serveurs de Yahoo en exploitant cette vulnérabilité découverte dans le shell Bash.
“Techniquement, jadis, j’ai porté un “chapeau noir” (black hat), comme vous pourriez dire. Je ne suis pas étranger au FBI, tout comme ils ne me sont pas étrangers. J’ai été accusé et mis en examen pour des délits informatiques dans le passé, pour lesquels je n’ai jamais été condamné. Ces jours-ci, j’essaye d’utiliser les capacités de mon cerveau pour des choses plus utiles que de causer du tort“.
C’est par ces mots que l’ingénieur Johnathan D. Hall, président de la société Future South Technologies, a écrit à Maryssa Mayer pour la prévenir directement que certains serveurs de Yahoo avaient été compromis par des pirates informatiques roumains ayant profité de la faille désormais célèbre ShellShock. Il a dû se résoudre à contacter directement la présidente de Yahoo après avoir échoué à contacter la société par les moyens publics mis à disposition, y compris par téléphone. C’est uniquement lorsqu’il a alerté le FBI que Yahoo s’est décidé à lui répondre sommairement.
Celui qui s’est reconverti en hacker “white hat” a découvert en étudiant la vulnérabilité de Bash et ses exploitations possibles qu’un script hébergé sur un domaine WinZip.com (appartenant à l’éditeur du célèbre logiciel de compression de fichiers) tentait de découvrir des serveurs vulnérables, qui exécutent des commandes bash malveillantes. En creusant, avec une méthode qu’il détaille sur son site internet, l’homme s’est aperçu qu’il s’agissait d’un script de botnet contrôlé via un serveur IRC sur lequel étaient diffusés les noms des serveurs vulnérables et piratés. Or c’est en surveillant ce salon de discussion qu’il a découvert que des serveurs de Yahoo (et de Lycos) avaient été compromis, sans qu’il soit possible de savoir l’étendue des données auxquelles ont potentiellement accédé les pirates.
Les deux serveurs compromis étaient dip4.gq1.yahoo.com et api118.sports.gq1.yahoo.com. Mais “ce ne sont pas les boîtes (serveurs) initiaux compromis qui peuvent être la menace, c’est à quel point les individus peuvent être doués pour traverser les réseaux et creuser plus loin“, prévient Johnathan D. Hall. “Il y a dix ans, j’ai déjà été à la racine de vos serveurs web principaux et j’ai commencé à chercher des informations à vendre. Les temps ont changé“, mais les risques demeurent les mêmes, a-t-il ajouté.
En réponse, Yahoo s’est contenté de confirmer l’intrusion, et que des investigations étaient en cours.
Source : Numerama
Les commentaires sont fermés.